Dokoama Posted July 28 Share Posted July 28 Bonjour, Ça fait plusieurs mois que mon ordinateur portable semble tourner en continue quand il est branché sur secteur (ventilation qui tourne + chaleur qui émane du PC). Et depuis un certain temps maintenant Windows Defender détecte 2 Trojans régulièrement : un "Trojan:Win32/BatTamper.A" et un "Trojan:Script/Phonzy.A!ml" dont je demande la suppression à chaque fois mais qui sont à nouveau détectés peu de temps après quand je relance le PC (2/3 jours). Je n'arrive pas à m'en défaire malgré une réinstallation complète de Windows 11. Je crois que mes disques durs de sauvegardes sont également infectés. J'ai également remarqué que je ne peux pas activer dans Windows Defender l'option "intégrité de la mémoire" dans "isolation du noyau". Il m'indique un problème de compatibilité des driver mais ne m'indique pas les drivers qui semblent poser problème. Merci par avance pour votre aide et propositions de solution :) Link to comment
Longaripa Posted July 28 Share Posted July 28 Bonjour Suivez ce tuto --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/ Il y a 3 rapports à poster Link to comment
Dokoama Posted July 28 Author Share Posted July 28 Voilà les 3 rapports : ZHP : https://www.cjoint.com/c/NGCrGewxTpw FRST : https://www.cjoint.com/c/NGCrGUOUHbw Addition : https://www.cjoint.com/c/NGCrIwvLrvw Link to comment
Longaripa Posted July 29 Share Posted July 29 Bonjour Rien de spécial dans les rapports. Votre disque système manque de place. C'est vous qui avez installé Aurora-Agent ? Les détections de WD le concernent. Ce problème est reporté par ailleurs chez les utilisateurs. Le fichier incriminé étant un fichier texte, il semble que ce soit une fausse détection. Je prépare un script pour nettoyer un peu. Link to comment
Dokoama Posted July 29 Author Share Posted July 29 Bonjour Oui, j'ai remarqué qu'il n'y avait plus de place récemment. Je suis assez surpris qu'il y ait autant de chose sur ce disque car normalement j'installe tout sur le 2eme. Je vais nettoyer un peu. Oui, c'est moi qui l'ai installé lors de mes recherches de solutions. Je viens de réaliser que les deux fichiers suspectés comme des Trojans par Sécurité Windows sont des fichier liés à Aurora-Agent. Trojan:Script/Phonzy.A!ml : file: C:\Program Files\Aurora-Agent\signatures\sigma-rules\public\windows\powershell\powershell_script\posh_ps_tamper_windows_defender_set_mp.yml Trojan:Win32/BatTamper.A : file: C:\Program Files\Aurora-Agent\signatures\sigma-rules\public\windows\powershell\powershell_classic\posh_pc_tamper_windows_defender_set_mp.yml D'autre part, quelques informations supplémentaire que j'ai oublié de préciser dans mon premier message : Depuis 3 semaines j'observe des fenêtres qui s'ouvrent et se ferment instantanément pendant mon utilisation de l'ordinateur sans que je lance quelque chose. J'ai pu voir aussi avec le gestionnaire des tâches que quand je suis sur secteur la carte graphique tourne à 10%-15% continuellement même quand rien n'est lancé. Je ne sais pas si c'est une valeur normale pour une carte graphique non sollicitée ? Quelque fois lors de la fermeture de l'ordinateur l'application "Uxd Device" empêche la fermeture et Windows demande si je veux clore l'application pour pouvoir arrêter pleinement l'ordinateur. Et j'ai pu voir que j'avais des factures d'électricité particulièrement élevée également. Je ne sais pas si tous ces éléments sont significatifs et ou importants ? De mon côté je me demandais si je n'avais pas à faire à un Trojan mineur de crypto ? (je ne sais pas si je fabule) Link to comment
Longaripa Posted July 30 Share Posted July 30 Bonjour Essayez de faire de la place sur le disque. Il y a Wiztree qui est pas mal pour voir les gros fichiers et les gros dossiers. Pour UxdDevice, cela arrive de temps en temps. C'est lié à Nvidia. Essayez de mettre à jour les pilotes. Pour le Trojan miner, c'est possible, mais je n'y crois pas trop, il n'y en a pas de traces. On va faire un peu de ménage dans les fichiers temporaires, les tâches obsolètes, la corbeille, etc Correction avec FRST : Copier la totalité du contenu, ( Sélectionner tout de start:: à end:: compris -> Copier) de ce correctif hébergé ici -> https://textup.fr/792348D6 Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller Lancez FRST en tant qu'administrateur par click droit Cliquez sur "corriger" Patientez Une fois le système redémarré, postez le rapport : fixlog.txt 1 Link to comment
Dokoama Posted July 31 Author Share Posted July 31 Bonsoir, Merci beaucoup pour ces indications et vos réponses ! Je mets cela en œuvre dès que je peux, je n'ai pas accès à mon ordinateur pour l'instant. Je reviens une fois cela fait ! Link to comment
Dokoama Posted August 3 Author Share Posted August 3 Bonjour, Voici le rapport fixlog.txt : https://www.cjoint.com/c/NHdjStJur4d Lors du redémarrage après la procédure, plusieurs fenêtres se sont à nouveau lancées puis refermées instantanément. Link to comment
Longaripa Posted August 3 Share Posted August 3 Bonjour Ok pour le rapport. Comment se comporte le PC ? Les fenêtres qui s'ouvrent/se ferment, cela arrive souvent, selon ce qui se lance au démarrage. Ce n'est généralement pas un signe d'infection. Désactivez un maximum de choses au démarrage, et voyez si cela disparaît. Link to comment
Dokoama Posted August 18 Author Share Posted August 18 Bonsoir, En enlevant les logiciels se lançant au démarrage je n'ai effectivement plus de fenêtres qui s'ouvrent puis se ferment. Cependant désormais j'en ai qui s'ouvrent puis se ferment pendant mon utilisation de l'ordinateur. Est ce que cela aussi n'est pas considéré comme un signe d'infection ? Link to comment
Longaripa Posted August 19 Share Posted August 19 Bonjour Ce n'est pas forcément signe d'infection, en effet. On va regarder encore. Lancez une analyse avec MalwareBytes, et postez le rapport. Refaites aussi les analyses comme indiqué au début et postez les 3 rapports. 4 rapports à poster. Link to comment
Dokoama Posted August 21 Author Share Posted August 21 Bonjour, Voilà les 4 rapports. MalwareBytes : https://www.cjoint.com/c/NHvsBYcbFKw ZHP : https://www.cjoint.com/c/NHvsEfVug7w FRST : https://www.cjoint.com/c/NHvsFePSjZw Addition : https://www.cjoint.com/c/NHvsGi6YTiw J'ai eu également plusieurs blue screens de manière assez aléatoire généralement peu de temps après avoir démarré l'ordinateur. A nouveau je ne sais pas si c'est lié ? Un grand merci à vous pour votre aide ! Link to comment
Longaripa Posted August 23 Share Posted August 23 Bonjour Désolé pour le délai. J'étais persuadé d'avoir répondu, mais ça a du se perdre en route. Je confirme, pas d'infection. Pour les fenêtres en cours de travail, cela peut venir de tâches d'update programmées. Pour les écrans bleus, télécharger whocrashed. https://www.resplendence.com/whocrashed Poster le résultat. Link to comment
Dokoama Posted August 24 Author Share Posted August 24 Bonjour, Aucun soucis ne vous en faite pas ! Voici le rapport de Whocrashed : https://www.cjoint.com/c/NHysoXqAmuw Comme cjoint n'acceptais pas les fichier HTML je l'ai transformé en .TXT, j'espère que ça ira pour le lire. Dites le moi dans le cas contraire. Link to comment
Longaripa Posted August 25 Share Posted August 25 Bonjour Pas de problème, en le renommant en html, c'est correct. A priori, cela viendrait d'un pilote, et en regroupant avec les infos de addition.txt, plus précisément de dddriver64Dcsa.sys , un pilote de diagnostic de Dell. Il est indiqué ici comment contourner le problème. Link to comment
Dokoama Posted August 28 Author Share Posted August 28 Bonjour ! En suivant les indications sur le lien que vous m'avez envoyé j'ai renommé le fichier dddriver64Dcsa.sys en dddriver64Dcsa.sys.off cependant au redémarrage de l'ordinateur un nouveau message d'erreur est apparu indiquant : "Impossible de charger un pilote sur cet appareil Pilote : iqvw64e.sys iqvw64e.sys Un paramètre de sécurité détecte qu'il s'agit d'un pilote vulnérable et en empêche le chargement. Vous devez régler vos paramètres pour charger ce pilote" Link to comment
Longaripa Posted August 29 Share Posted August 29 Bonjour D'après Microsoft, il faudrait désactiver la protection de la mémoire. https://support.microsoft.com/en-us/windows/core-isolation-e30ed737-17d8-42f3-a2a9-87521df09b78 Un sujet qui en parle : https://answers.microsoft.com/en-us/windows/forum/all/iqvw64esys-a-driver-cannot-load-on-this-device/dcc336f6-8815-4346-952b-fff97fe81523 Link to comment
Recommended Posts